サインイン ページのカスタマイズ、ログイン タイプの更新、セキュリティー証明書のローテーション、多要素認証の適用、および組織用のカスタム サインイン カテゴリーの作成によって、組織のログインを管理できます。
ログイン タイプの管理
ログイン タイプを変更すると、変更されたメンバーはアカウントからサイン アウトされます。 メンバーには変更を確認する電子メールが送信されます。
注意:
管理者は、ログイン タイプを変更する前にメンバー レポートを生成することをおすすめします。
メンバーが組織にサイン インする方法を変更するには、次の手順を実行します:
- 組織サイトにサイン インしていることを確認します。
アカウントがデフォルト管理者ロールのメンバーである必要があります。
- 組織ページの [設定] タブで [セキュリティー] をクリックします。
- [ログイン] で、[メンバー ログインの変更] をクリックします。
[ログイン タイプの変更] ウィンドウの [ログイン タイプの選択] タブが表示されます。
- [ログイン タイプの変更] または [ログイン タイプの保持] を選択します。
注意:
ソーシャル ログインのタイプの変更はサポートされていません。
- [次へ] をクリックします。
- 次のいずれかを実行します。
- [ログイン タイプの変更] を選択した場合は、[現在のログイン タイプ] と [新しいログイン タイプ] の各オプションを選択します。
- [ログイン タイプの保持] を選択した場合は、[現在のログイン タイプ] の値を選択します。
- [次へ] をクリックします。
[メンバーの選択] タブが表示されます。
- ログイン タイプの変更を適用するメンバー アカウントを選択する方法を選択します。
- [次へ] をクリックします。
- 次のいずれかを実行します。
- 手順 8 で [CSV ファイルからメンバーを選択] を選択した場合は、適切なメンバーのログインを含むカンマ区切り値ファイル (.csv) をアップロードします。
注意:
[CSV テンプレートのダウンロード] をクリックして、正しい形式の .csv ファイルを確認し、使用します。
- 手順 8 で [手動での選択] を選択した場合は、検索またはフィルターを使用して、適切なメンバーのログインを見つけて選択します。
- 手順 8 で [CSV ファイルからメンバーを選択] を選択した場合は、適切なメンバーのログインを含むカンマ区切り値ファイル (.csv) をアップロードします。
- [次へ] をクリックします。
[ユーザーの詳細] タブが表示されます。
- 必要に応じて、SAML または OpenID Connect (OIDC) ログインに変更する場合は、選択したメンバーの SAML または OIDC ID と一時パスワードを入力します。
値を入力しない場合は、一時パスワードが自動的に割り当てられます。
- [次へ] をクリックします。
[再認証が必要] タブが表示されます。
- [新しいウィンドウを開いて再認証します] をクリックします。
新しいブラウザー ウィンドウが開きます。
- ArcGIS Online にサイン インし、アカウントを認証します。
[認証キーのコピー] ウィンドウが表示されます。
- [コピーして続行] をクリックします。
ブラウザー ウィンドウが閉じ、[再認証] タブが表示されます。
- [貼り付け] をクリックします。
- 必要に応じて、新しい認証キーが必要な場合は、[新しいキーの生成] をクリックし、手順 11 ~ 13 を実行します。
- [次へ] をクリックします。
[確認および完了] タブが表示されます。
ヒント:
[変更内容の CSV をダウンロード] をクリックできます。
- ログイン変更案を確認し、[この変更による影響を認識し、理解しています] をクリックします。
- [ログインの変更] をクリックします。
[ログイン タイプ変更の進捗状況 (%)] ウィンドウが表示され、ログイン タイプの変更の進捗状況が示されます。
注意:
この処理が完了するまで、このウィンドウを閉じたり、ブラウザーで戻るボタンをクリックしたりしないでください。
組織ページの [設定] タブの [セキュリティー] に戻ります。 ログイン変更の結果を示すアラートが画面に表示されます。
- [変更内容の CSV をダウンロード] をクリックします。
注意:
変更結果をダウンロードできるのは、このタイミングのみです。
ログインの変更により、メンバーは自動的にサイン アウトされます。
組織のログイン タイプが変更されます。 メンバーには変更を確認する電子メールが送信されます。
証明書とキーの管理
組織固有のログイン (たとえば SAML ログイン) では、証明書とキーのペアを使用して、署名付きリクエストや暗号化されたアサーションをサポートします。 SAML リクエストの署名とアサーションの応答の暗号化に使用される証明書は、ArcGIS Online で管理されます。 デフォルトの証明書とキーのペアが提供されます。 デフォルトの証明書を使用するか、自己署名証明書を生成するか、認証機関によって署名された証明書をアップロードすることができます。
自己署名証明書とキー ペアの生成
自己署名証明書とキー ペアを生成するには、次の手順を実行します:
- 組織サイトにサイン インしていることを確認します。
アカウントが、デフォルト管理者ロールのメンバー、または組織のセキュリティー設定を構成するための一連の権限が割り当てられているカスタム ロールのメンバーである必要があります。
- 組織ページの [設定] タブで [セキュリティー] をクリックします。
- [自己署名証明書のキー ペアを生成] をクリックします。
[自己署名証明書のキー ペアを生成] ウィンドウが表示されます。
- 証明書の名前と説明を入力します。
- [生成] をクリックします。
組織固有の証明書が作成され、[証明書とキー] の下のテーブルに表示されます。 この証明書を ArcGIS Online サービス プロバイダー署名証明書、暗号化証明書、またはその両方として使用するよう構成できます。
署名済み証明書とキー ペアのアップロード
署名済み証明書とキー ペアを ArcGIS Online 組織にアップロードするには、次の手順を実行します:
- 組織サイトにサイン インしていることを確認します。
アカウントが、デフォルト管理者ロールのメンバー、または組織のセキュリティー設定を構成するための一連の権限が割り当てられているカスタム ロールのメンバーである必要があります。
- 組織ページの [設定] タブで [セキュリティー] をクリックします。
- [署名済み証明書とキー ペアのアップロード] をクリックします。
[署名済み証明書とキーのアップロード] ウィンドウが表示されます。
- 証明書の名前と説明を入力します。
- 次のいずれかを実行します。
- [証明書データ] をクリックし、プライベート キーとパブリック証明書を指定します。
- [ファイル アップロード] をクリックし、プライベート キーとパブリック証明書のファイルを自分のデバイスから選択します。
アップロードできるプライベート キーと公開証明書の形式は、Privacy Enhanced Mail (PEM) 形式のみです。
- [アップロード] をクリックします。
指定した証明書が [証明書とキー] の下のテーブルに表示されます。 この証明書を ArcGIS Online サービス プロバイダー署名証明書、暗号化証明書、またはその両方として使用するよう構成できます。
カスタム サインイン カテゴリーの作成
組織のカスタム サインイン カテゴリーを作成するには、次の手順を実行します。
- デフォルト管理者ロールのメンバーまたは組織のセキュリティー設定を管理する一連の権限を持つカスタム ロールとしてサイン インしていることを確認します。
- 組織ページの [設定] タブで [セキュリティー] をクリックします。
- [組織および OAuth 2.0 アプリケーションのサイン イン操作をカスタマイズできるようにします] 切り替えボタンをオンにします。
このオプションはデフォルトでは無効になっています。
- [カスタム サイン イン カテゴリーの作成] をクリックします。
注意:
最大で 100 のカスタム サイン イン カテゴリーを構成できます。
[サイン イン カテゴリーの作成] ウィンドウが表示されます。
- 必要に応じて、[開始方法の選択] ウィンドウで、[組織のデフォルト] オプション以外のカテゴリーを選択します。 [開始するサイ ンイン カテゴリーの選択] ドロップダウン矢印をクリックし、オプションを選択します。
サイン イン方法には、組織の [ログイン] セクションで認証されている方法 ([ArcGIS ログイン]、[Open ID]、[ソーシャル ログイン] など) が反映されます。
- [次へ] をクリックします。
- カテゴリーのタイトルと説明を、それぞれ [タイトル] フィールドと [説明] フィールドに入力します。
選択したタイトルは、ユーザーが組織サイトにサイン インするときに [アカウント タイプの選択] のオプションとして表示されます。
- [次へ] をクリックします。
- 必要に応じて、[ログイン タイプ] ウィンドウを使用して、ログイン カテゴリーへのアクセスを有効にし、有効化後のログイン カテゴリーの [タイトル] の値を変更します。
カテゴリーを作成するには、少なくとも 1 つのログイン タイプを有効にする必要があります。
ヒント:
カテゴリーを設定したいが、そのカテゴリーでユーザーがサイン インするための準備ができていない場合は、[サイン イン カテゴリーの有効化] チェックボックスをオフにします。 カテゴリーを有効にするには、組織サイトの設定にある [セキュリティー] セクションの [カスタム サイン イン] セクションでカテゴリー名の横の切り替えボタンをオンにします。
- [カテゴリーの作成] をクリックします。
注意:
カスタム サイン イン カテゴリーを作成して有効化すると、ユーザーが組織サイトにサイン インするときに組織のデフォルトが表示されなくなります。
カテゴリーは、組織サイトの設定にある [セキュリティー] セクションの [カスタム サイン イン] セクションに表示されます。
- 必要に応じて、[サイン イン ページのプレビュー] をクリックして、サイン イン時にユーザーに表示される内容を確認します。 カスタム サイン イン カテゴリーを更新するには、[構成] をクリックします。
多要素認証の管理
管理者は、組織全体に多要素認証を適用し、ArcGIS Online へのサイン イン時に ArcGIS ログインを使用するメンバーをセキュリティー ポリシーに準拠させることで、組織のセキュリティーを向上させることができます。 多要素認証の適用時に、ArcGIS ログインを使用するメンバーは、サイン インするために各自のアカウントで多要素認証を設定する必要があります。 メンバーは自分自身のアカウントの多要素認証を無効化できなくなり、多要素認証の設定をリセットするには管理者に連絡する必要があります。
多要素認証の適用を無効にすると、メンバーは自分自身のアカウントの多要素認証を無効化できるようになりますが、すでに設定されているメンバーの多要素認証は無効化されません。 設定済みのメンバーは、引き続き多要素認証を使用してサイン インするよう求められます。
管理者は、ArcGIS ログインを使用しているメンバーに対して、サイン イン時に多要素認証の設定を要求しないようにすることもできます。 適用除外リストのメンバーは、設定ページで自分自身のアカウントの多要素認証を有効または無効にできます。
注意:
多要素認証を適用すると、ArcGIS ログインを使用するメンバーが多要素認証をまだ有効化していない場合、サイン アウトされ、継続中の作業およびプロセスがすべて中断されます。 多要素認証の適用を有効化する前に、メンバーが多要素認証を設定するための十分な時間を確保できるよう、事前にメンバーに連絡してください。 不要な混乱を避けるために、メンバーを多要素認証適用除外リストに一時的に追加することができます。
多要素認証を適用するには、次の手順を実行します。
- デフォルト管理者ロールのメンバーまたは組織のセキュリティー設定を管理する一連の権限を持つカスタム ロールとしてサイン インしていることを確認します。
- サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
- [セキュリティー] で [MFA の適用] をクリックします。
ヒント:
必要に応じて、[適用除外リストの管理] をクリックして、多要素認証を有効化/無効化する機能を維持するユーザーを追加します。 多要素認証を適用しない場合、除外リストは影響を与えません。 終了したら、[保存] をクリックします。
新しいウィンドウが表示されます。
- [適用] をクリックします。
[MFA 適用は現在、有効です] ラベルが [MFA 適用] の下のセキュリティー設定に表示されます。
後から多要素認証を無効化する場合は、上記の手順を繰り返しますが、手順 3 で [MFA 適用の無効化] をクリックします。